目錄
1.介紹域(Domain)
內網環境:
(1)工作組:默認模式,人人平等,不方面公司管理
(2)域:人人不平等,集中管理,統一管理
(3)本地管理員組:administrators
(4)域管理員組:Domain Admins
域的特點:
集中/統一管理(在內網中公司所有成員都可以登入公司所有的電腦,但權限有限,域管理員權限最大,可控制公司所有的電腦)
域的組成:
(1)域控制器: DC(Domain Controller)
(2)成員機
活動目錄(ActiveDirectory):
(1)作用:儲存公司總資源
(2)特點:集中管理/統一管理
域的部署:
安裝活動目錄(AD)
(1)安裝域控制器--就生成了域環境
(2)安裝了活動目錄--就生成了域控制器
(3)成員機名:主機名+域名
組策略GPO:
作用:爲域用戶設定策略,通過組策略可以修改計算機的各種屬性,如開始菜單、桌面背景、網絡參數等。
重點:組策略在域中,是基於OU來下發的!!
組策略在域中下發後,用戶的應用順序是:L -> S -> D -> OU(L:本地組策略,S:工作站組策略,D:域組策略,OU:OU組策略),在應用過程中,如果出現衝突,後應用的生效!
域工作過程:
域樹與域林:
2.搭建域環境(Domain)
以windows2008爲例
(1)安裝部署活動目錄:
1)開啓2008虛擬機,並橋接到vmnet2
2)配置靜態IP地址10.1.1.1/24
3)開始-運行-輸入dcpromo,安裝活動目錄。
彈出嚮導:
勾選DNS-新林中新建域-功能級別都設置爲2003-域的FQDN(zhusheng.com)
設置目錄服務還原密碼123.com-勾選安裝後重啓
4)在DC上登錄域zhusheng\administrator
DC的本地管理員升級爲域管理員
5)驗證AD是否安裝成功:
1-計算機右鍵屬性-所屬域
2-DNS服務器中是否自動創建zhusheng.com區域文件及主機
3-自動註冊DC的域名解析記錄
4-開始-管理工具-A D 用戶和計算機
computer:普通域成員機列表
Domain Controller:DC列表
users:域賬號
(2)將PC加入域:
1)配置IP,並指定DNS
2.計算機右鍵屬性--更改--加入zhusheng.com域
3.重啓加入域後,成功使用域用戶登錄成員機
(3)新建域用戶
將域用戶加入成員機的本地管理員組
(4)常見小問題
1)加入域不成功
網絡是不是不通!
解析是否能成功解析!
是否爲DNS緩存問題
2)登入域不成功
如XP,已勾選登錄域QF,不用再寫zhusheng\si.li
3)域用戶的權限
建議將域用戶加入到普通成員機的本地管理員組中
(5)OU:組織單位
作用:用於歸類域資源(域用戶、域計算機、域組)
1)新建OU
(6)組策略:Group Policy = GPO
爲OU新建組策略:
1)在管理工具中打開組策略管理
2)新建組策略
3)設定組策略-例1
4)製作共享文件夾,共享文件
5)將共享文件寫入組策略中
6)查看OU中的所有組策略
7)強制-組策略
8)阻止繼承
9)設定組策略-例2
10)組策略執行情況:
****正常情況下:L -> S -> D -> OU順序
上級OU: 桌面:aa 運行:刪除
下級OU: 桌面:未配置 運行:不刪除
下級OU用戶結果:桌面:aa 運行:不刪除
****下級OU設置了阻止繼承:
上級OU: 桌面:aa 運行:刪除
下級OU: 桌面:未配置 運行:不刪除
下級OU用戶結果: 桌面:未配置 運行:不刪除
****上級設置了強制:
上級OU: 桌面:aa 運行:刪除
下級OU: 桌面:未配置 運行:不刪除
下級OU的用戶結果: 桌面:aa 運行:刪除
注意:當上級強制和下級阻止繼承同時設置,強制生效!
GPO練習:
1.在董事會部門設置GPO,並要求強制桌面背景,並驗證
2.在董事會部門上級的ou上設置GPO,也進行強制桌面背景,並驗證
3.在董事會部門上級的ou上設置GPO,強制刪除運行菜單,並驗證
4.練習阻止繼承,並驗證
5.練習向下強制,並驗證
6.實現董事會的計算機無須按ctrl+alt+delete,並驗證